Voir les événements du journal système pour Identity Threat Protection

Certains de ces événements sont disponibles pour les organisations ayant activé Adaptive MFA . Dans ces organisations, vous devez recevoir directement le rôle de super administrateur pour pouvoir les consulter (pas d‘affectation de groupe).

Identity Threat Protection with Okta AI enregistre les événements dans le journal système lorsqu‘il détecte des changements dans le contexte de la session d‘un utilisateur ou le niveau de risques pour une entité. ITP enregistre également les événements lorsque la Protection de session pour une politique d‘authentification échoue ou lorsqu‘un jeton d‘événement de sécurité est reçu via Shared Signals Framework. Consultez Types d‘événements deIdentity Threat Protection pour obtenir des détails supplémentaires.

Voir les événements du journal système

  1. Dans l'Admin Console, allez à Rapportsjournal système.

  2. Configurez la plage de dates et saisissez un nom d‘utilisateur.

  3. Cliquez sur l‘icône en forme de flèche à côté du champ Recherche .

Vous pouvez également visualiser les événements du journal système depuis le profil d‘un utilisateur.

  1. Dans l'Admin Console, allez à RépertoirePersonnes.

  2. Sélectionnez un utilisateur.

  3. Dans le profil d‘un utilisateur, cliquez sur Voir les journaux.

  4. Configurez la plage de dates, puis cliquez sur l‘icône Loupe à côté du champ Recherche.

Types d‘événements du journal système

Collez cette requête dans le champ Recherche du le journal système pour rechercher des types d‘événements spécifiques : eventType eq "<event type> " (par exemple, eventType eq "policy.auth_reevaluate.enforce").

Pour chaque type d‘événement, les champs Comportements et Risques décrivent la raison de l‘échec. Pour la plupart des types d‘événements, le champ acteur affiche le nom d‘utilisateur associé à l‘événement.

Commentaires des administrateurs

  • Analytics.Feedback.provide : apparaît lorsqu‘un super administrateur donne son avis sur la détection d‘un risque utilisateur .

Risques pour l‘entité

  • utilisateur.risk.detect : apparaît en cas de modification du niveau de risques pour l‘entité. Cet événement était précédemment enregistré en tant que utilisateur.risk.change. Il a été renommé dans la version 2024.09.0. Cet événement est disponible pour les organisations ayant activé Adaptive MFA , mais vous devez recevoir directement le rôle de super administrateur pour pouvoir le consulter.

Politique de risques pour l‘entité

  • policy.entity_risk.action : apparaît lorsque Okta évalue la politique de risques pour l‘entité et invoque une action.
  • policy.entity_risk.evaluate : apparaît lorsque Okta évalue la politique de risques pour l‘entité et identifie un changement du niveau de risques pour une entité.

Okta Verify

  • device.signals.status.timeout : apparaît lorsqu‘un appareil enregistré associé à un utilisateur n‘a pas communiqué avec Okta dans l‘intervalle de temps requis.

Protection de session

  • policy.auth_reevaluate.enforce : apparaît lorsqu‘une évaluation de la protection de session se produit à la suite d‘un changement du contexte de la session. Cet événement était précédemment enregistré en tant que policy.Continous_access.evaluate. Il a été renommé dans la version 2024.09.0.
  • policy.auth_reevaluate.fail : apparaît lorsque la politique d‘authentification ou de session globale de votre organisation est réévaluée et qu‘une violation de politique se produit.
  • policy.auth_reevaluate.action : apparaît lorsque Okta déconnecte un utilisateur de ses applications configurées ou exécute un Workflow en réponse à une violation d‘authentification ou de politique de session globale. Cet événement était précédemment enregistré en tant que policy.Continous_Access.action. Il a été renommé dans la version 2024.09.0.

Risque de session

  • utilisateur.session.context.change : apparaît lorsque Okta identifie une modification dans le contexte de la session d‘un utilisateur, le contexte de l‘appareil ou l‘adresse IP (sauf si l‘adresse IP résultante se trouve dans un proxy de confiance). Cet événement est disponible pour les organisations ayant activé Adaptive MFA , mais vous devez recevoir directement le rôle de super administrateur pour pouvoir le consulter.

Shared Signals Framework

  • security.events.provider.receive_event : apparaît lorsque Okta reçoit un signal de risque d‘un fournisseur d‘événements de sécurité. Cet événement est disponible pour les organisations ayant activé Adaptive MFA , mais vous devez recevoir directement le rôle de super administrateur pour pouvoir le consulter.

Universal Logout

  • utilisateur.session.end : apparaît lorsque Okta invoque Universal Logout en réponse à une violation de session.
  • utilisateur.session.clar : apparaît lorsqu‘un administrateur efface la session d‘un utilisateur.
  • utilisateur.session.universal_logout : apparaît lorsque Okta ou un administrateur invoque Universal Logout pour un utilisateur.
  • utilisateur. authentification.universal_logout : apparaît lorsque Okta ou un administrateur invoque Universal Logout pour une instance d‘application.
  • utilisateur. authentification.universal_logout.scheduled : apparaît lorsqu‘un administrateur déclenche manuellement Universal Logout sur une instance d‘application.

Workflows

  • Workflows. utilisateur.delegatedflow.run : apparaît lorsque Okta invoque un flux délégué en réponse à une violation de session.

Rubriques connexes

System Log

Détections des risques

Rapports Identity Threat Protection